首頁技術(shù)文章正文

什么是Shiro?Shiro有什么特點(diǎn)？

更新時(shí)間:2020年08月04日17時(shí)12分來源:傳智播客瀏覽次數(shù):

1、Shiro簡介

【1】什么是Shiro?

Shiro是apache旗下一個開源框架，它將軟件系統(tǒng)的安全認(rèn)證相關(guān)的功能抽取出來，實(shí)現(xiàn)用戶身份認(rèn)證，權(quán)限授權(quán)、加密、會話管理等功能，組成了一個通用的安全認(rèn)證框架。

【2】Shiro 的特點(diǎn)

Shiro 是一個強(qiáng)大而靈活的開源安全框架，能夠非常清晰的處理認(rèn)證、授權(quán)、管理會話以及密碼加密。如下是它所具有的特點(diǎn)：

· 易于理解的 Java Security API;

· 簡單的身份認(rèn)證(登錄)，支持多種數(shù)據(jù)源(LDAP，JDBC 等);

· 對角色的簡單的簽權(quán)(訪問控制)，也支持細(xì)粒度的鑒權(quán);

· 支持一級緩存，以提升應(yīng)用程序的性能;

· 內(nèi)置的基于 POJO 企業(yè)會話管理，適用于 Web 以及非 Web 的環(huán)境;

· 異構(gòu)客戶端會話訪問;

· 非常簡單的加密 API;

· 不跟任何的框架或者容器捆綁，可以獨(dú)立運(yùn)行。

2、核心組件

Shiro架構(gòu)圖

1596512729986_Shiro架構(gòu)圖.jpg

·Subject

Subject主體，外部應(yīng)用與subject進(jìn)行交互，subject將用戶作為當(dāng)前操作的主體，這個主體：可以是一個通過瀏覽器請求的用戶，也可能是一個運(yùn)行的程序。Subject在shiro中是一個接口，接口中定義了很多認(rèn)證授相關(guān)的方法，外部程序通過subject進(jìn)行認(rèn)證授，而subject是通過SecurityManager安全管理器進(jìn)行認(rèn)證授權(quán)。

·SecurityManager

SecurityManager權(quán)限管理器，它是shiro的核心，負(fù)責(zé)對所有的subject進(jìn)行安全管理。通過SecurityManager可以完成subject的認(rèn)證、授權(quán)等，SecurityManager是通過Authenticator進(jìn)行認(rèn)證，通過Authorizer進(jìn)行授權(quán)，通過SessionManager進(jìn)行會話管理等。SecurityManager是一個接口，繼承了Authenticator, Authorizer, SessionManager這三個接口。

·Authenticator

Authenticator即認(rèn)證器，對用戶登錄時(shí)進(jìn)行身份認(rèn)證

·Authorizer

Authorizer授權(quán)器，用戶通過認(rèn)證器認(rèn)證通過，在訪問功能時(shí)需要通過授權(quán)器判斷用戶是否有此功能的操作權(quán)限。

·Realm(數(shù)據(jù)庫讀取+認(rèn)證功能+授權(quán)功能實(shí)現(xiàn))

Realm領(lǐng)域，相當(dāng)于datasource數(shù)據(jù)源，securityManager進(jìn)行安全認(rèn)證需要通過Realm獲取用戶權(quán)限數(shù)據(jù)

比如：

如果用戶身份數(shù)據(jù)在數(shù)據(jù)庫那么realm就需要從數(shù)據(jù)庫獲取用戶身份信息。

注意：

不要把realm理解成只是從數(shù)據(jù)源取數(shù)據(jù)，在realm中還有認(rèn)證授權(quán)校驗(yàn)的相關(guān)的代碼。

·SessionManager

SessionManager會話管理，shiro框架定義了一套會話管理，它不依賴web容器的session，所以shiro可以使用在非web應(yīng)用上，也可以將分布式應(yīng)用的會話集中在一點(diǎn)管理，此特性可使它實(shí)現(xiàn)單點(diǎn)登錄。